Memulihkan Data Seperti Ahli Forensik Menggunakan Live CD Ubuntu

Memulihkan Data Seperti Ahli Forensik Menggunakan Live CD Ubuntu
Memulihkan Data Seperti Ahli Forensik Menggunakan Live CD Ubuntu

Video: Memulihkan Data Seperti Ahli Forensik Menggunakan Live CD Ubuntu

Video: Memulihkan Data Seperti Ahli Forensik Menggunakan Live CD Ubuntu
Video: Mengenal dan Menjalankan Windows Media Player (WMP) #55 - YouTube 2024, April
Anonim

Ada banyak utilitas untuk memulihkan file yang dihapus, tetapi bagaimana jika Anda tidak dapat mem-boot komputer Anda, atau seluruh drive telah diformat? Kami akan menunjukkan kepada Anda beberapa alat yang akan menggali lebih dalam dan memulihkan file terhapus yang paling sulit dipahami, atau bahkan seluruh partisi hard drive.

Kami telah menunjukkan kepada Anda cara sederhana untuk memulihkan file yang tidak sengaja terhapus, bahkan metode sederhana yang dapat dilakukan dari Live CD Ubuntu, tetapi untuk hard disk yang rusak berat, metode tersebut tidak akan memotongnya. Dalam artikel ini, kami akan memeriksa empat alat yang dapat memulihkan data dari hard drive yang paling berantakan, terlepas dari apakah mereka diformat untuk komputer Windows, Linux, atau Mac, atau bahkan jika tabel partisi dihapus seluruhnya.

Catatan: Alat-alat ini tidak dapat memulihkan data yang telah ditimpa pada hard disk. Apakah file yang dihapus telah ditimpa tergantung pada banyak faktor - semakin cepat Anda menyadari bahwa Anda ingin memulihkan file, semakin besar kemungkinan Anda akan dapat melakukannya.

Pengaturan kami

Untuk menampilkan alat ini, kami telah menyiapkan hard disk kecil 1 GB, dengan separuh ruang dipartisi sebagai ext2, sistem file yang digunakan di Linux, dan separuh ruang yang dipartisi sebagai FAT32, sistem file yang digunakan dalam sistem Windows yang lebih lama. Kami menyimpan sepuluh gambar acak di setiap hard drive.

Kami kemudian menghapus tabel partisi dari hard drive dengan menghapus partisi di GParted.
Kami kemudian menghapus tabel partisi dari hard drive dengan menghapus partisi di GParted.
Apakah data kami hilang selamanya?
Apakah data kami hilang selamanya?

Memasang alat

Semua alat yang akan kami gunakan ada di Ubuntu alam semesta gudang.

Untuk mengaktifkan repositori, buka Synaptic Package Manager dengan mengklik Sistem di bagian kiri atas, lalu Administrasi> Synaptic Package Manager.

Klik Pengaturan> Penyimpanan dan tambahkan tanda centang di kotak berlabel "Perangkat lunak Open Source yang dikelola oleh komunitas (alam semesta)".

Image
Image

Klik Tutup, dan kemudian di jendela Manajer Paket Synaptic utama, klik tombol Muat Ulang. Setelah daftar paket telah dimuat ulang, dan indeks pencarian dibangun kembali, cari dan tandai untuk menginstal satu atau semua paket berikut: testdisk, terutama, dan pisau bedah.

TestDisk termasuk TestDisk, yang dapat memulihkan partisi yang hilang dan memperbaiki sektor boot, dan PhotoRec, yang dapat memulihkan berbagai jenis file dari berton-ton sistem file yang berbeda.

Image
Image

Terutama, yang awalnya dikembangkan oleh Kantor Investigasi Khusus Angkatan Udara AS, menemukan file berdasarkan header dan struktur internal lainnya. Terkemuka beroperasi pada hard drive atau file gambar drive yang dihasilkan oleh berbagai alat.

Image
Image

Akhirnya, pisau bedah melakukan fungsi yang sama seperti yang paling utama, tetapi difokuskan pada peningkatan kinerja dan penggunaan memori yang lebih rendah. Scalpel dapat berjalan lebih baik jika Anda memiliki mesin yang lebih tua dengan RAM yang lebih sedikit.

Image
Image

Memulihkan partisi hard drive

Jika Anda tidak dapat memasang hard drive Anda, maka tabel partisi mungkin rusak. Sebelum Anda mulai mencoba memulihkan file penting Anda, dimungkinkan untuk memulihkan satu atau beberapa partisi pada drive Anda, memulihkan semua file Anda dengan satu langkah.

TestDisk adalah alat untuk pekerjaan itu. Mulai dengan membuka terminal (Aplikasi> Aksesoris> Terminal) dan ketik:

sudo testdisk
Jika Anda mau, Anda dapat membuat file log, meskipun itu tidak akan memengaruhi berapa banyak data yang Anda pulihkan. Setelah Anda menentukan pilihan, Anda akan disambut dengan daftar media penyimpanan di komputer Anda. Anda harus dapat mengidentifikasi hard drive yang Anda inginkan untuk memulihkan partisi dari ukuran dan labelnya.
Jika Anda mau, Anda dapat membuat file log, meskipun itu tidak akan memengaruhi berapa banyak data yang Anda pulihkan. Setelah Anda menentukan pilihan, Anda akan disambut dengan daftar media penyimpanan di komputer Anda. Anda harus dapat mengidentifikasi hard drive yang Anda inginkan untuk memulihkan partisi dari ukuran dan labelnya.
TestDisk meminta Anda memilih jenis tabel partisi untuk mencari. Dalam kebanyakan kasus (ext2 / 3, NTFS, FAT32, dll.) Anda harus memilih Intel dan tekan Enter.
TestDisk meminta Anda memilih jenis tabel partisi untuk mencari. Dalam kebanyakan kasus (ext2 / 3, NTFS, FAT32, dll.) Anda harus memilih Intel dan tekan Enter.
Highlight Analyze dan tekan enter.
Highlight Analyze dan tekan enter.
Dalam kasus kami, hard drive kecil kami sebelumnya telah diformat sebagai NTFS. Hebatnya, TestDisk menemukan partisi ini, meskipun tidak dapat memulihkannya.
Dalam kasus kami, hard drive kecil kami sebelumnya telah diformat sebagai NTFS. Hebatnya, TestDisk menemukan partisi ini, meskipun tidak dapat memulihkannya.
Ia juga menemukan dua partisi yang baru saja kita hapus. Kami dapat mengubah atributnya, atau menambahkan lebih banyak partisi, tetapi kami akan memulihkannya dengan menekan Enter.
Ia juga menemukan dua partisi yang baru saja kita hapus. Kami dapat mengubah atributnya, atau menambahkan lebih banyak partisi, tetapi kami akan memulihkannya dengan menekan Enter.
Jika TestDisk belum menemukan semua partisi Anda, Anda dapat mencoba melakukan pencarian lebih dalam dengan memilih opsi itu dengan tombol panah kiri dan kanan. Kami hanya memiliki dua partisi ini, jadi kami akan memulihkannya dengan memilih Menulis dan menekan Enter.
Jika TestDisk belum menemukan semua partisi Anda, Anda dapat mencoba melakukan pencarian lebih dalam dengan memilih opsi itu dengan tombol panah kiri dan kanan. Kami hanya memiliki dua partisi ini, jadi kami akan memulihkannya dengan memilih Menulis dan menekan Enter.
Testdisk memberitahu kita bahwa kita harus reboot.
Testdisk memberitahu kita bahwa kita harus reboot.
Image
Image

Catatan: Jika Live CD Ubuntu Anda tidak terus-menerus, maka ketika Anda reboot, Anda harus menginstal ulang semua alat yang Anda instal sebelumnya.

Setelah restart, kedua partisi kami kembali ke kondisi asli, gambar, dan semuanya.

Image
Image

Memulihkan file dari tipe tertentu

Untuk contoh berikut, kami menghapus 10 gambar dari kedua partisi lalu memformat ulangnya.

PhotoRec

Dari ketiga alat yang akan kami tunjukkan, PhotoRec adalah yang paling mudah digunakan, meskipun merupakan utilitas berbasis konsol. Untuk mulai memulihkan file, buka terminal (Aplikasi> Aksesoris> Terminal) dan ketik:

sudo photorec

Untuk memulai, Anda diminta untuk memilih perangkat penyimpanan untuk mencari. Anda harus dapat mengidentifikasi perangkat yang tepat berdasarkan ukuran dan labelnya. Pilih perangkat yang tepat, lalu tekan Enter.

PhotoRec meminta Anda memilih jenis partisi yang akan dicari. Dalam kebanyakan kasus (ext2 / 3, NTFS, FAT, dll.) Anda harus memilih Intel dan tekan Enter.
PhotoRec meminta Anda memilih jenis partisi yang akan dicari. Dalam kebanyakan kasus (ext2 / 3, NTFS, FAT, dll.) Anda harus memilih Intel dan tekan Enter.
Anda diberi daftar partisi pada hard drive yang Anda pilih.Jika Anda ingin memulihkan semua file di partisi, lalu pilih Cari dan tekan enter.
Anda diberi daftar partisi pada hard drive yang Anda pilih.Jika Anda ingin memulihkan semua file di partisi, lalu pilih Cari dan tekan enter.

Namun, proses ini bisa sangat lambat, dan dalam kasus kami, kami hanya ingin mencari file gambar, jadi kami menggunakan tombol panah kanan untuk memilih File Opt dan tekan Enter.

PhotoRec dapat memulihkan berbagai jenis file, dan membatalkan pilihan masing-masing akan memakan waktu lama. Sebagai gantinya, kami menekan "s" untuk menghapus semua pilihan, dan kemudian menemukan jenis file yang sesuai - jpg, gif, dan png - dan pilih mereka dengan menekan tombol panah kanan.
PhotoRec dapat memulihkan berbagai jenis file, dan membatalkan pilihan masing-masing akan memakan waktu lama. Sebagai gantinya, kami menekan "s" untuk menghapus semua pilihan, dan kemudian menemukan jenis file yang sesuai - jpg, gif, dan png - dan pilih mereka dengan menekan tombol panah kanan.
Setelah kami memilih ketiga ini, kami menekan "b" untuk menyimpan pilihan ini.
Setelah kami memilih ketiga ini, kami menekan "b" untuk menyimpan pilihan ini.
Tekan enter untuk kembali ke daftar partisi hard drive. Kami ingin mencari kedua partisi kami, jadi kami menyoroti "Tidak ada partisi" dan "Cari" dan kemudian tekan Enter.
Tekan enter untuk kembali ke daftar partisi hard drive. Kami ingin mencari kedua partisi kami, jadi kami menyoroti "Tidak ada partisi" dan "Cari" dan kemudian tekan Enter.
PhotoRec meminta lokasi untuk menyimpan file yang dipulihkan. Jika Anda memiliki hard drive sehat yang berbeda, maka kami sarankan untuk menyimpan file yang dipulihkan di sana. Karena kami belum pulih, kami akan menyimpannya di desktop Ubuntu Live CD.
PhotoRec meminta lokasi untuk menyimpan file yang dipulihkan. Jika Anda memiliki hard drive sehat yang berbeda, maka kami sarankan untuk menyimpan file yang dipulihkan di sana. Karena kami belum pulih, kami akan menyimpannya di desktop Ubuntu Live CD.

Catatan: Jangan pulihkan file ke hard drive yang Anda pulihkan.

PhotoRec dapat memulihkan 20 foto dari partisi di hard drive kami!
PhotoRec dapat memulihkan 20 foto dari partisi di hard drive kami!
Tampilan cepat di direktori recup dir.1 yang dibuatnya menegaskan bahwa PhotoRec telah memulihkan semua foto kita, kecuali untuk nama file.
Tampilan cepat di direktori recup dir.1 yang dibuatnya menegaskan bahwa PhotoRec telah memulihkan semua foto kita, kecuali untuk nama file.
Image
Image

Terutama

Terutama adalah program baris perintah tanpa antarmuka interaktif seperti PhotoRec, tetapi menawarkan sejumlah opsi baris perintah untuk mendapatkan sebanyak mungkin data dari drive Anda yang ada.

Untuk daftar lengkap opsi yang dapat di-tweak melalui baris perintah, buka terminal (Aplikasi> Aksesoris> Terminal) dan ketik:

foremost –h

Dalam kasus kami, opsi baris perintah yang akan kami gunakan adalah:

  • -t, daftar jenis file yang dipisahkan koma untuk dicari. Dalam kasus kami, ini adalah "jpeg, png, gif".
  • -v, mengaktifkan verbose-mode, memberi kami informasi lebih lanjut tentang apa yang paling penting dilakukan.
  • -o, folder output untuk menyimpan file yang dipulihkan masuk. Dalam kasus kami, kami membuat direktori yang disebut "terdepan" di desktop.
  • -i, input yang akan dicari untuk file. Ini dapat berupa gambar disk dalam beberapa format berbeda; Namun, kami akan menggunakan hard disk, / dev / sda.

Doa utama kami adalah:

sudo foremost –t jpeg,png,gif –o foremost –v –i /dev/sda

Permintaan Anda akan berbeda tergantung pada apa yang Anda cari dan di mana Anda mencarinya.

Terkemuka mampu memulihkan 17 dari 20 file yang tersimpan di hard drive.
Terkemuka mampu memulihkan 17 dari 20 file yang tersimpan di hard drive.
Melihat file, kami dapat mengonfirmasi bahwa file-file ini telah dipulihkan dengan relatif baik, meskipun kami dapat melihat beberapa kesalahan dalam thumbnail untuk 00622449.jpg.
Melihat file, kami dapat mengonfirmasi bahwa file-file ini telah dipulihkan dengan relatif baik, meskipun kami dapat melihat beberapa kesalahan dalam thumbnail untuk 00622449.jpg.
Bagian ini mungkin disebabkan oleh filesystem ext2. Terutama merekomendasikan menggunakan opsi -d command-line untuk sistem file Linux seperti ext2.
Bagian ini mungkin disebabkan oleh filesystem ext2. Terutama merekomendasikan menggunakan opsi -d command-line untuk sistem file Linux seperti ext2.

Kami akan menjalankan yang terpenting lagi, menambahkan opsi -d baris perintah ke permintaan terdepan kami:

sudo foremost –t jpeg,png,gif –d –o foremost –v –i /dev/sda
Kali ini, yang terpenting adalah memulihkan semua 20 gambar!
Kali ini, yang terpenting adalah memulihkan semua 20 gambar!
Tampilan akhir pada gambar-gambar menunjukkan bahwa foto-foto itu ditemukan tanpa masalah.
Tampilan akhir pada gambar-gambar menunjukkan bahwa foto-foto itu ditemukan tanpa masalah.
Image
Image

Pisau bedah

Scalpel adalah program yang sangat kuat yang, seperti Foremost, sangat dapat dikonfigurasi. Tidak seperti Foremost, Scalpel mengharuskan Anda untuk mengedit file konfigurasi sebelum mencoba pemulihan data apa pun.

Semua editor teks akan melakukannya, tetapi kami akan menggunakan gedit untuk mengubah file konfigurasi. Di jendela terminal (Aplikasi> Aksesoris> Terminal), ketik:

sudo gedit /etc/scalpel/scalpel.conf
scalpel.conf berisi informasi tentang sejumlah jenis file yang berbeda. Gulir melalui file ini dan hapus tanda komentar baris yang dimulai dengan jenis file yang ingin Anda pulihkan (mis. Hapus karakter "#" di awal baris tersebut).
scalpel.conf berisi informasi tentang sejumlah jenis file yang berbeda. Gulir melalui file ini dan hapus tanda komentar baris yang dimulai dengan jenis file yang ingin Anda pulihkan (mis. Hapus karakter "#" di awal baris tersebut).
Simpan file dan tutup. Kembali ke jendela terminal.
Simpan file dan tutup. Kembali ke jendela terminal.

Scalpel juga memiliki banyak opsi baris perintah yang dapat membantu Anda mencari dengan cepat dan efektif; namun, kami hanya akan menentukan perangkat input (/ dev / sda) dan folder output (folder bernama "scalpel" yang kami buat di desktop).

Doa kami adalah:

sudo scalpel /dev/sda –o scalpel
Scalpel dapat memulihkan 18 dari 20 file kami.
Scalpel dapat memulihkan 18 dari 20 file kami.
Dengan melihat sekilas file-file scalpel yang ditemukan mengungkapkan bahwa sebagian besar file kami berhasil dipulihkan, meskipun ada beberapa masalah (mis. 00000012.jpg).
Dengan melihat sekilas file-file scalpel yang ditemukan mengungkapkan bahwa sebagian besar file kami berhasil dipulihkan, meskipun ada beberapa masalah (mis. 00000012.jpg).
Image
Image

Kesimpulan

Dalam contoh mainan cepat kami, TestDisk dapat memulihkan dua partisi yang dihapus, dan PhotoRec dan Foremost dapat memulihkan semua 20 gambar yang dihapus. Scalpel memulihkan sebagian besar file, tetapi sangat mungkin bahwa bermain dengan opsi baris perintah untuk pisau bedah akan memungkinkan kami memulihkan semua 20 gambar.

Alat-alat ini adalah penyelamat jika ada masalah dengan hard drive Anda. Jika data Anda berada di hard drive di suatu tempat, maka salah satu alat ini akan melacaknya!

Direkomendasikan:

Ahli Geek: Menavigasi Gaya Command-Line Registri Seperti Drive Menggunakan PowerShell

Ahli Geek: Menavigasi Gaya Command-Line Registri Seperti Drive Menggunakan PowerShell

Konsep drive di PowerShell bukan tentang drive fisik, tetapi tentang mewakili setiap penyimpanan data sebagai antarmuka yang konsisten. Menggunakan penyedia yang tepat Anda bahkan dapat mengakses registri seolah-olah itu adalah struktur file.

Alat Forensik Komputer Gratis Terbaik

Alat Forensik Komputer Gratis Terbaik

Berikut ini adalah daftar beberapa perangkat dan perangkat Forensik Komputer gratis yang dapat Anda gunakan untuk memeriksa jejak data dari komputer yang rusak untuk berbagai tujuan.

CD / DVD Data Recovery software untuk memulihkan Data dari CD DVD

CD / DVD Data Recovery software untuk memulihkan Data dari CD DVD

Mencari CD DVD Recovery Freeware? Artikel ini memuat top 3 CD, DVD, perangkat lunak pemulihan Data IsoBuster, CDCheck, CD Recovery Toolbox untuk Windows 10/8/7.

EaseUS Data Recovery Wizard Free memungkinkan Anda memulihkan data yang hilang atau dihapus

EaseUS Data Recovery Wizard Free memungkinkan Anda memulihkan data yang hilang atau dihapus

EaseUS Recovery Data Wizard Gratis untuk Windows menawarkan cara yang paling dapat diandalkan untuk memulihkan data yang hilang atau dihapus. Versi gratis dapat memulihkan hingga 2GB data.

MiniTool Power Data Recovery Free memulihkan data dari partisi yang rusak

MiniTool Power Data Recovery Free memulihkan data dari partisi yang rusak

MiniTool Power Data Recovery Free Edition adalah perangkat lunak pemulihan data untuk Windows 10/8/7, yang dapat memulihkan file yang dihapus, bahkan dari komputer yang tidak dapat ditunda. Ini menawarkan CD? DVD serta Pemulihan Media Digital.